Cómo hacer un aviso de privacidad

Para concretar la mayoría de los negocios es inevitable que se expongan diversa información que pone en riesgo la integridad de sus propietarios, ya que hoy en día este tipo de información tiene un alto valor económico en el mercado, ya sea para fines de mercadotecnia o para cometer delitos informáticos u otros como el robo o la suplantación de identidad. Frente a todas estas amenazas el Estado mexicano ha reconocido el derecho a la privacidad, intimidad, protección de datos y autodeterminación de la información, creando un marco jurídico sólido en materia de protección de datos personales. 

Asimismo, se ha valido de distintos instrumentos para garantizar el derecho a la protección de datos, siendo el más importante el aviso de privacidad. Por ese motivo, a continuación se abordan los aspectos más relevantes de este documento y un modelo de aviso de privacidad ubicado como Anexo en la página 6 de esta sección.

Qué es y quién debe realizarlo

Las personas físicas o morales que gestionen datos personales están obligadas a elaborar y poner a disposición un documento denominado aviso de privacidad a través del cual informen a su titular sobre su tratamiento, de acuerdo con los artículos 2 y 3 fracción I de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Datos que deben protegerse

Se consideran datos personales a la información referente a una persona física identificada o identificable, es decir, todos aquellos rasgos que puedan determinar directa o indirectamente la identidad de un sujeto; por ejemplo, el nombre, la dirección, la CURP, el RFC o correo electrónico.

La protección también es extensiva a los que se refieren a la esfera más íntima de su titular, tales como: origen racial o étnico, preferencia sexual, opiniones políticas, datos biométricos, historia clínica, etc., y se les da el carácter de sensibles, porque su utilización indebida puede dar origen a discriminación o conllevar un riesgo para la persona, motivo por el cual la LFPDPPP prevé una regulación especial.

Importancia de crear un aviso de privacidad

Los propietarios de los datos personales deben estar al tanto de los términos y condiciones de los lineamientos para su obtención, uso, aprovechamiento, almacenamiento, transferencia, divulgación y disposición, para estar en posibilidades de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO), que consisten en:

• acceso: disponer de los datos que estén en posesión de una persona física o moral
• rectificación: pedir la corrección cuando fuesen inexactos
• cancelación: determinar que no se utilicen, y
• oposición: impedir que sean empleados para un objeto distinto al originalmente señalado

Consentimiento

Para tratar estos rasgos de identificación es indispensable obtener la aprobación de su dueño, misma que debe cumplir con las siguientes características (art. 5, Reglamento LFPDPPP —RLFPDPPP—):

• libre: de error, mala fe, violencia o dolo
• informada: que el titular tenga conocimiento del aviso de privacidad previo a la gestión de sus datos
• específica: referido a una o varias finalidades determinadas que justifiquen su administración e
• inequívoca: que existan elementos que demuestren su otorgamiento de forma innegable

Excepciones

No es necesario obtener el permiso para la gestión de los datos en los supuestos cuando (art. 10 LFPDPPP):

• esté previsto en una ley
• la información figure en fuentes de acceso público o se someta a un procedimiento de disociación
• tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el encargado
• exista una situación de emergencia que pueda dañar potencialmente a un individuo en su persona o bienes
• sean indispensables para la atención médica o la prestación de servicios sanitarios, mientras el interesado no esté en condiciones de otorgar la autorización, y
• se dicte resolución de autoridad competente

Clases de consentimiento

La anuencia puede ser expresa o tácita dependiendo de cómo se recopila la información, como se muestra enseguida:

Características

En términos del numeral 24 del RLFPDPPP, el formato sea físico o electrónico tiene que ser sencillo, con la información necesaria, expresado en un lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento. Para tal fin, se deben observar los siguientes requisitos:

• no usar frases inexactas, ambiguas o vagas
• en caso de que se incluyan casillas no tienen que marcarse previamente, y
• no remitir a textos o documentos que no estén disponibles 
• tomar en cuenta para su redacción los perfiles de los propietarios
• no incluir frases que induzcan a elegir una opción en específico

Modalidades

Existen tres tipos de avisos de privacidad según la forma en que sean recopilados los datos, como se muestra a continuación.

Aviso de privacidad integral

Resulta obligatorio cuando los indicadores se obtengan de manera personal de su propietario.

Reúne todos los requisitos previstos en los dispositivos 8, 15, 16, 33 y 36 de la LFPDPPP, 14, 30, 41, 68, 90 y 102 del RLFPDPPP y vigésimo al trigésimo primero de los Lineamientos del Aviso de Privacidad (LAP).

Aviso de privacidad simplificado

Es aplicable cuando los rasgos de identificación se recaban directamente del titular, pero no personalmente; por ejemplo, mediante un sitio web o vía telefónica (art. 27, RLFPDPPP).

El ordenamiento trigésimo cuarto de la LAP determina que debe contener al menos:

• identidad y domicilio del responsable
• mecanismos ofrecidos para que se conozca el alcance del aviso de privacidad integral
• finalidades del tratamiento, haciendo referencia explícita a aquellas que refieran a mercadotecnia, publicidad o prospección comercial, los medios para manifestar la negativa para la gestión  de sus rasgos para fines no necesarios 

Aviso de privacidad corto

Únicamente se admite cuando el espacio para la recaudación de los datos sea limitado, de tal forma que el lugar destinado para el aviso de privacidad también lo sea, como tratándose boletos, cajeros automáticos o mensajes SMS (art. 28, RLFPDPPP). Solo debe comprender lo siguiente:

• identidad y domicilio del encargado
• finalidades del tratamiento, y
• formas de acceder al aviso de privacidad integral

Contenido

Los componentes del formato varían dependiendo de si es simple, corto o integral. A continuación se explica la información esencial para elaborar un aviso de privacidad integral,  ya que es el que reúne todos elementos.

Identidad y domicilio del responsable 

Incluir el nombre o la razón o denominación social, además, es recomendable indicar el nombre comercial con el que los clientes reconocen al establecimiento u otros datos de contacto como su página web, correo electrónico y número telefónico.

Por su parte, el domicilio debe referenciar calle, número, colonia, entidad federativa, ciudad, municipio y código postal.

Datos personales sometidos al tratamiento 

Señalar con precisión la información que se recaba del interesado, ya sea a través de un listado, o bien, de  un catálogo que determine sus categorías.

Datos personales sensibles que se gestionan 

Definir claramente los rasgos sensibles que se compilan, en caso contrario, se propone se indique la siguiente referencia: “Se informa que no se recabarán datos personales sensibles”.

Finalidades del tratamiento 

Establecer el propósito del manejo de los datos; se deben observar los siguientes lineamientos:

• ser completo 
• no utilizar frases inexactas, ambiguas o vagas, como: "entre otras finalidades", "otros fines análogos" o "por ejemplo"
• los objetivos tienen que ser determinados, descritos con claridad y sin lugar a confusión 
• añadir las finalidades relativas a su empleo con fines de mercadotecnia, publicidad o prospección comercial, y
• distinguir entre los fines que dan origen y son necesarios para la existencia, mantenimiento y cumplimiento de la relación jurídica, de aquéllas que no lo son

Mecanismos para manifestar negativa

Asentar el medio por la cual el titular puede expresar su objeción para el manejo de sus datos a fines secundarios, el cual puede ser el propio aviso de privacidad u otro mecanismo que quede perfectamente delimitado

Cuando el aviso no se haga del conocimiento del dueño de manera directa o personal, se debe agregar una que informe que se tiene un plazo de cinco días hábiles para que se manifieste la negativa. Asimismo, quedan a salvo los derechos del interesado para revocar su consentimiento si no declara su rechazo.

Transferencias

Es posible compartir los datos personales a terceros dentro o fuera del territorio nacional, pero debe señalarse el destinatario, el objeto del encargo, la información afectada y las responsabilidades derivadas de su tratamiento.

Cláusula de aceptación de transferencia

Prever una estipulación que indique si el propietario acepta o no la comunicación de los datos a otras sujetos. No se requiere el permiso cuando:

• esté prevista en una ley o tratado en los que México sea parte
• se efectúe a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, a una matriz o a cualquier compañía del mismo grupo que opere bajo los procesos y políticas internas iguales
• sea vital por virtud de un contrato celebrado por el responsable y un tercero en interés del titular, 
• es exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia
• sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
• para el mantenimiento o cumplimiento de una relación jurídica entre el encargado y el interesado, y 
• sea indispensable para la prevención o el diagnóstico médico

Medios para ejercer los derechos ARCO

Fijar los mecanismos que tiene el titular a su disposición para hacer valer las garantías ARCO, describiendo el procedimiento para atender las solicitudes, mismo que tiene que ser de fácil acceso, con la mayor cobertura posible, gratuito y debe contener los siguientes elementos:

• información o documentación que se debe acompañar a la solicitud
• plazos dentro del procedimiento
• medios para dar respuesta y por el cual se puede obtener la información requerida, y
• formularios que el responsable haya implementado para facilitar el ejercicio de dichas prerrogativas
• sistemas de acreditación de la identidad del interesado

Mecanismos para revocar el consentimiento

En cualquier momento se puede revocar la autorización dada para el manejo de los datos personales, para lo cual, el responsable debe establecer mecanismos y procedimientos que cumplan con las características previstos para el ejercicio de los derechos ARCO.

Opciones para limitar el uso de los datos 

Dar a conocer al interesado las alternativas para restringir el empleo o divulgación de los elementos personales, ya sea a través de:

• el Registro Público de Consumidores o en el Registro Público de Usuarios conforme a la Ley Federal de Protección al Consumidor y la Ley de Protección y Defensa al Usuario de Servicios Financieros,
• su inscripción en listados de exclusión del encargado, sectoriales o generales, y
• la habilitación de medios por los cuales se pueda expresar el rechazo a seguir recibiendo comunicados o promociones por el encargado

Empleo de cookies 

Alertar del uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea (cookies o web beacons), mediante una advertencia colocada en un lugar visible que refleje el hecho de que a través de estos se obtienen dichos indicadores, así como la forma en que pueden deshabilitarse, salvo que sean necesarias por motivos técnicos.